De aanvallers achter de phishingaanval op Twilio en Cloudflare hebben bij meer dan 130 organisaties toegeslagen en tienduizend accounts weten te compromitteren. Ook tientallen Nederlandse gebruikers zijn geraakt, zo meldt securitybedrijf Group-IB in een vandaag verschenen analyse.

Bij de aanval op Twilio en Cloudflare werden sms-berichten verstuurd waarin gebruikers werd gevraagd om in te loggen. De link in het bericht wees naar een phishingpagina. Via de gegevens van Twilio-medewerkers wisten de aanvallers toegang te krijgen tot gegevens van 125 Twilio-klanten, waaronder versleutelde chatapp Signal. Op deze manier werden telefoonnummers en sms-registratiecodes van 1900 Signal-gebruikers buitgemaakt.

De aanval gaat echter veel verder dan alleen Twilio en Cloudflare, aldus Group-IB. Het securitybedrijf stelt dat bij de aanval meer dan 130 organisaties zijn getroffen en de aanvallers 10.000 accounts hebben weten te compromitteren. Al deze bedrijven maken gebruik van de diensten identiteitsprovider Okta. Aangevallen medewerkers ontvingen een sms-bericht met een link naar een nagemaakte Okta-inlogpagina van hun organisatie.

Hoe er precies inzicht in de gestolen informatie werd verkregen laat Group-IB niet weten. Naast inloggegevens werden er ook zo'n 5500 MFA-codes bemachtigd. Voor de aanval werden zeker 169 unieke domeinnamen gebruikt. Het grootste deel van de slachtoffers bevindt zich in de Verenigde Staten. Het gaat om vooral om it-dienstverleners, softwarebedrijven en cloudproviders.

De onderzoekers vermoeden dat de aanvallers mogelijk een financieel motief hadden, aangezien ook financiële instellingen zijn geraakt, alsmede bedrijven die toegang tot cryptovaluta en -markten hebben of investeringstools ontwikkelen. Om dergelijke aanvallen te voorkomen wordt eindgebruikers aangeraden om goed op te letten op welke website ze hun gegevens invullen en zouden organisaties hun personeel van een fysieke beveiligingssleutel moeten voorzien.